Publié par Laisser un commentaire

Mauvaise sécurité, pas seulement la réutilisation de mots de passe, à blâmer pour la violation de Disney +



«Tout ce qu'il faut, c'est de la foi et de la confiance, oh! et quelque chose que j’avais oublié: la poussière », raconte Peter Pan à Wendy, John et Michael dans l’adaptation du roman de J.M. Barrie à Disneyland en 1953. Mais après une brèche généralisée dans la société de divertissement nouveaux comptes Disney + au moins une société de recherche sur la cybersécurité indique que son nouveau service de diffusion en continu a besoin de plus que d'une concoction magique
Une enquête de la société de recherche sur la cybersécurité GroupSense a lié l'apparition de à des milliers de comptes Disney + vendus . ] sur le Web sombre pour une attaque de bourrage de lettres de créance conçue pour exploiter les procédures de sécurité des comptes en cas de faiblesse mise en œuvre par Disney. Le remplissage d'informations d'identification consiste à utiliser un logiciel pour réutiliser automatiquement les combinaisons nom d'utilisateur / mot de passe volées ou couramment utilisées dans l'espoir d'accéder à des comptes de consommateurs.
Les références valides des comptes Disney +, dont les abonnements coûtent 6,99 $ par mois, sont disponibles sur le Dark Web pour un minimum de 3 $, alors que la plupart des comptes similaires atteignent 3 $ sur Dark Web. C'est parce qu'un compte Disney + est lié à la carte de crédit de l'utilisateur, ainsi qu'à d'autres informations personnelles pouvant être utilisées pour vol d'identité déclare le président et fondateur de GroupSense, Kurtis Minder.
Ce que vous devez savoir sur l'infraction de Marriott
Comment savoir que vous faites partie de la violation des 30 millions d'utilisateurs de Facebook
Comment se remettre d'une violation de données relative aux soins de santé
Voulez-vous arrêter les violations de données? Responsabiliser les entreprises
Comment traiter avec Equifax et notre système de protection de crédit "brisé"
Vous êtes donc victime d’une violation de données.
«Disney n’a pas utilisé certaines des meilleures pratiques permettant de protéger les utilisateurs», déclare-t-il. «Il n’existe pas d’authentification à deux facteurs c’est une évidence. Et Disney devrait dissimuler l'existence d'un compte et ne pas valider d'une manière ou d'une autre si un compte existe. ”
Lorsque quelqu'un tente de se connecter à Disney +, le service vérifie si le nom d'utilisateur du compte existe. Cela peut être utile aux utilisateurs qui ont oublié l’adresse électronique qu’ils ont utilisée lors de la création de leur compte Disney +, mais les pirates informatiques peuvent également exploiter cette logique.
Les pirates pourraient utiliser un outil logiciel ou un botnet pour vérifier automatiquement si une adresse email est déjà dans le système Disney +. Une fois que les pirates informatiques savent qu'un compte utilisant cette adresse e-mail en tant que nom d'utilisateur existe, il peut simplement s'agir d'essayer d'utiliser des mots de passe couramment utilisés ou ayant déjà été divulgués, associés à cette adresse, explique Minder.
"Le fait de valider l’existence d’un compte n’a pas l’effet inverse de valider les comptes existants", dit-il. «Il semble que [hackers are] non seulement utilise des fichiers de données brutes, mais utilise également une autre tactique, telle que les listes de mots, pour y accéder.»
Les chercheurs de GroupSense constatent également que de nombreux comptes Disney + sont vendus. sur le Dark Web sont signalés comme provenant d’un essai gratuit de Disney + et de Verizon Wireless, qui offre à ses clients un abonnement gratuit d’un an à Disney +. Il existe un certain nombre d'autres services que les hackers peuvent cibler pour accéder à Disney +, notamment d'autres services appartenant à Disney et dont les titulaires de comptes ont accès à Disney +, tels que Disneyland, Walt Disney World, ESPN, Marvel et FX.
Bien que Disney + oblige les utilisateurs à entrer un mot de passe à usage unique après un trop grand nombre de tentatives de connexion, GroupSense indique que le code à usage unique envoyé par courrier électronique expire au bout de 15 minutes, puis que le pirate est libre de reprendre les tentatives de connexion. .
Disney n'a pas répondu à des questions sur les raisons pour lesquelles elle n'avait pas implémenté l'authentification à deux facteurs ni d'autres méthodes de sécurité pour ses utilisateurs du service de diffusion en continu. Un représentant de Disney a déclaré dans un courriel que la société n’avait pas trouvé de preuve d’une atteinte à la sécurité.
«Des milliards de noms d'utilisateur et de mots de passe qui ont été divulgués à la suite d'infractions antérieures chez d'autres sociétés, antérieures au lancement de Disney +, sont vendus sur le Web. Nous auditons en permanence nos systèmes de sécurité et, lorsque nous découvrons une tentative de connexion suspecte, nous verrouillons de manière proactive le compte d'utilisateur associé et demandons à l'utilisateur de sélectionner un nouveau mot de passe », a déclaré le représentant. «Nous avons observé un très petit pourcentage d'utilisateurs dans cette situation et encourageons tous les utilisateurs confrontés à ce type de problèmes à contacter notre service clientèle afin que nous puissions les aider.»
La plupart des professionnels de la sécurité étudier les cas de violation de compte signalent rapidement les consommateurs réutilisant leurs mots de passe . Dans ce cas, toutefois, ils pourraient également désigner la société chargée d’émettre et de protéger les comptes de consommateurs. Et ce n’est pas un cas isolé.
Parmi les principaux services de diffusion multimédia en continu que The Parallax a examinés, seules les sociétés de technologie ayant déjà investi dans une authentification à deux facteurs – Google, Apple, Comcast et Amazon —offrez-le dans le cadre de la protection de leur compte de service de streaming. Les services de diffusion en continu Media-first Disney +, Netflix, Spotify, Hulu, HBO Go et DirectTV ne le font pas.
Les prises de contrôle de compte, un type commun ] est un grand prêteur d'argent pour les pirates qui ne montrent aucun signe de perte de vitesse. Une enquête LexisNexis sur le coût réel de la fraude a révélé que chaque dollar de fraude coûtait aux organisations plus de 2,50 USD en coûts réels; Selon les estimations de Javelin Strategy and Research les fraudes sur comptes ont coûté 5,1 milliards de dollars aux États-Unis, soit le triple de l'année précédente, . Et une étude de Microsoft publiée en juillet 2019 conclut que l'utilisation d'une forme d'authentification à deux facteurs rend les comptes d'utilisateurs 99,9% moins vulnérables aux prises de contrôle . C’est une statistique que les services trouveraient suffisamment convaincante pour proposer au moins une authentification à deux facteurs.
Les services de diffusion en continu peuvent être réticents à mettre en œuvre une authentification à deux facteurs et d’autres protections de compte plus solides, car elles craignent de perdre des clients , explique un analyste principal de la sécurité qui n’avait pas obtenu la permission de son employeur pour parler à The Parallax. «Quel est le risque d'attrition de la clientèle?» Ont-ils déclaré. "Avec des facteurs d'authentification supplémentaires, dans le cas d'une prise de compte, la récupération de compte pose également un risque d'attrition des clients."
Pour paraphraser Werner Herzog dans le nouveau [1945924] ] Emission télévisée basée sur Star Wars Mandalorian la protection des comptes en ligne des consommateurs est une affaire compliquée. Mais ce n’est pas nécessaire.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *